La célèbre décision dite du « Safe Harbor » (« sphère de sécurité ») prise par la Commission Européenne, qui permettait à un prestataire présent sur le territoire de l’Union Européenne, de faire transiter les données personnelles de ses clients par un pays tiers, le plus souvent les Etats-Unis, vient d’être invalidée par la même Commission.

L’événement est d’importance (apparemment) qui mérite que l’on rappelle sa genèse.

Au départ, c’est un ressortissant autrichien, Max Schrems, qui a mis le feu aux poudres. Celui-ci avait signé un contrat avec la filiale irlandaise de Facebook, aux termes duquel il était stipulé  que « les données à caractère personnel des utilisateurs de Facebook » d’utilisateurs résidant sur le territoire de l’Union Européenne, pouvaient être transférées vers des serveurs Facebook aux Etats-Unis où elles pouvaient faire l’objet de traitements ».

Dès lors l’Internaute a saisi la Commission Informatique » irlandaise d’une plainte pour qu’interdiction soit faite à Facebook Ireland de transférer les données en question. Plainte rejetée par la dite Commission au prétexte que le plaignant ne justifiait pas de la défaillance des modes de protection mis en place aux Etats-Unis, en gros qu’il ne prouvait rien et surtout qu’à priori la décision n° 2000/50 avait déjà statué sur le fond et estimé que ce pays assurait un niveau de protection adéquat.

Nullement découragé notre autrichien introduit alors un recours devant la « High Court » irlandaise, qui n’a fait que confirmer la décision 2000/50, sauf qu’elle constatait qu’en plus, les services de renseignement et les organes fédéraux américains procédaient à des actions de supervision dans le cadre de procédures secrète et non contradictoires. Ce qui donne au FBI et à la NSA la possibilité d’accéder à ces données pour leurs propres besoins, dans le cadre de leurs propres opérations de surveillance. Evidemment Snowden était passé par là.

Au total Max Schrems, aura lancé 22 plaintes contre Facebook et pour faire bonne mesure aura même créé un site militant « Europe vs ».

Invalidation du Safe Harbor

Le 6 octobre dernier, la Cour de Justice Européenne a invalidé le Safe Harbor, revient sur son jugement et estime désormais que les Etats-Unis n’ont pas la capacité d’assurer le niveau de protection suffisant pour les données qui transitent sur son territoire. Ce qui provoque un vent de panique parmi les fournisseurs de Cloud (mais pas seulement), présents sur le sol européen et risque de les mettre à mal, compte tenu de ce que l’Europe représente quand même plus de 400 millions de consommateurs et de clients potentiels.

Que faut-il penser de cette invalidation, qui a force de loi dans les pays membres de l’Union Européenne. Au moins 3 choses.

D’abord qu’il sera bien difficile de contrôler l’application de la directive. Car plusieurs fournisseurs ont déjà anticipé l’interdiction et signé un engagement allant dans ce sens…mais ont été pris la main dans le sac, car ils ont continué à faire transiter les données confidentielles sur le sol américain. Et l’on voit mal les clients demander des audits à chaque fois qu’ils auront un soupçon.

Qu’ensuite cette mesure peut apparaître comme un moyen de protéger non pas les ressortissants européens, mais plutôt les Clouds souverains, incapables jusqu’à présent de s’opposer par des moyens normaux, à la montée en puissance des Microsoft, Amazon, Google et autres prestataires de Cloud.

Que cela ne changera pas grand-chose sur le fond. Car la Commission sait pertinemment qu’il est très difficile aujourd’hui de démontrer que des données restent physiquement sur un territoire donné et que même si un écart était constaté, ce qui se produira, cela ne modifiera en rien la politique des clients.

Car il y a 3 types de données :

  • les données sensibles et stratégiques, brevets, secrets industriels, base de données clients, etc, qui de toute façon, ne sont pas dans le Cloud. Et qui n’y iront jamais à moins d’être gérées par des irresponsables.
  • les données « soi-disant » sensibles, mais qui ne le sont qu’aux yeux de leurs propriétaires et ce sont celles-là qui font l’objet du retournement de la Commission Européenne
  • les données dont tout le monde se moque et qui sont accessibles sans contrôle, qu’elles soient ou non sur le Cloud

Nous sommes donc très sceptiques sur l’intérêt concret de la fin du Safe Harbor, qui va cependant provoquer de gros troubles dans le microcosme des fournisseurs, obligés de s’adapter.

Mais ça n’empêchera pas un Snowden-bis de poursuivre le feuilleton, là où le premier l’avait laissé.